Вот в чем была моя боль или немного контекста
Я работаю в IT. Специфика работы позволяет мне заниматься собственными проектами (удаленка и занят не фул тайм) и да проекты не связаны с IT. Я занимаюсь торгами по банкротству (можно назвать это хобби, да такое у меня хобби…).
Знаете, этой статьи могло и не быть. Если бы не один случай, который меня так взбесил, что пришлось искать решение.
Выехал на объект в другом городе. Взял с собой все необходимое: сменную одежду, телефон, ноутбук, документы (помещается в обычном рюкзаке). Заехал в гостиницу, порешал все текущие вопросы и как обычно в свободное время начал мониторить торги на площадках.
Лоты разнообразные, там куча всего и во всем свои нюансы. Раскрывать на чем специализируюсь не буду, да и не важно это в рамках данной истории. В общем натыкаюсь на лот который мне ну очень интересен и по какой-то причине его я раньше не видел.
Изучив подробней, через какое-то время (не самый быстрый процесс) принимаю решение участвовать в торгах. Заполняю заявку, вставляю флешку с ЭЦП и…
Флешку...
Я же её точно брал с собой! Без неё даже из дома не выхожу, не уж-то потерял!?
Я перерыл все, начал вспоминать, когда пользовался ей в последний раз, вроде из дома. Искал флешку, как археолог в поисках клада. Нашёл только зарядку. Ладно, может, и не потерял, может, просто забыл дома. Не так страшно. Но срок подачи заявления истекает завтра. Дома я буду через пару дней.
Обидно конечно ну да ладно. Значит не моё, приеду домой и главное найти злополучную флешку.
Приезжаю домой. Начинаю выгружать вещи из рюкзака. Одежда, бумаги, зарядки – все на пол. Залезаю рукой в самый дальний карман на спине – тот, где она всегда лежала. И нащупываю... её. Ту самую флешку. Просто лежит там.
Ну я орал, прям громко. Обидно стало вдвойне. При чем не знаю на что я злился больше: на саму ситуацию или на собственную тупость.
Ну над ошибками нужно работать и начал искать решения чтобы такое не повторялось.
Решение: флешка over IP
То ли профдеформация, то ли обычная лень – но выбрал я прокидывать флешку по воздуху (USB over IP). При чем посоветовали решения коллеги по цеху. Наши безопасники оказывается уже давно используют какую-то аппаратную приблуду для этого.
Скажу сразу: аппаратно-программные комплексы отмел сразу, цена мягко говоря не юзер френдли и для меня решение довольно таки избыточно. Никого конечно не отговариваю от покупок готовых решений, я описываю свою ситуацию и свои предпочтения.
Поэтому стал искать программные решения USB over IP (по крайней мере то что мне удалось найти):
USB Redirector - 15-дневная пробная версия, перенаправление на 2 устройства (цен не нашел).
USB Network Gate – Платно ($160).
USBIP – Бесплатный open-source.
VirtualHere – Бесплатно на 1 устройство бессрочно. Бессрочная лицензия на сервер - $49.
DistkontrolUSB Free – Бесплатно на 1 устройство. Платной версии нет. Ограниченная поддержка железа.
Free Virtual USB Tools - Бесплатно на 1 устройство бессрочно. Лицензии на 1-5 лет или бессрочно (€100 - €290).
Отбрасываю сразу USB Redirector, USB Network Gate – для меня дорого, тем более при наличии альтернатив.
USBIP в целом работает, но только Linux-Linux. Под Windows все сложно: нужен режим разработчика для клиента — тоже минус.
Free Virtual USB Tools — вариант мой, так как целый зоопарк USB пробрасывать не нужно.
ШАГ 1. УСТАНОВКА free-virtual-usb-tools.exe в качестве сервера на WINDOWS 10. После установки необходимо перезагрузить ПК.
После перезагрузки ПК, открываем приложение сервера и выбираем USB-устройство (я взял RUTOKEN S)
ШАГ 2. УСТАНОВКА free-virtual-usb-tools.exe в качестве клиента на WINDOWS 10 (другой ПК), перезагружаем ПК.
Итог по Free Virtual USB Tools:
Просто: Установил на домашний ПК (с флешкой) и ноутбук. Настроил за 5 минут.
Стабильно: Во время тестов все работает как часы.
Бесплатно: Одного устройства мне более чем хватает.
НО: Держать ПК постоянно включенным не хотелось. Нужно что-то попроще. Есть Raspberry Pi (для экспериментов). У Free Virtual USB Tools версии под Linux нет, идем дальше.
VirtualHere - идеальный вариант! Сервер под Linux и Windows. Клиент вообще под всё.
ШАГ 1. Скачивание сервера Virtual Here
wget https://www.virtualhere.com/sites/default/files/usbserver/vhusbdarm
chmod +x vhusbdarmШАГ 2. Запуск сервера
./vhusbdarm -b
При запуске сервер автоматически создаст файл конфигурации (config.ini). В файле конфига можно редактировать только имя хоста, остальные настройки можно редактировать только после покупки лицензии.
Скачал клиентское ПО под Windows.
Итог по VirtualHere:
Относительно просто: Накатил Armbian, закинул сервер, настроил.
Стабильно: Во время тестов все работает как часы.
Бесплатно: Одного устройства хватает. При необходимости — бессрочная лицензия за $49.
Последний испытуемый — DistkontrolUSB Free. Готовый образ под Raspberry Pi.
Скачал образ и распаковал образ прошивки. Записал на SD карту через Rufus.
Вставляю SD карту в МК и запускаю. В инструкции производителя указано, что IP адрес малина получит по DHCP. Нашел через IP сканер адрес и зашел в Web.
В разделе «Информация» скачал клиентское ПО для Windows. Для подключения ввожу IP адрес Raspberry и порт 7575.
Итог по DistkontrolUSB Free:
Просто: Готовый образ → записал → настроил за 5 минут через Web.
Стабильно: Связь держится, сертификаты доступны.
Быстро: Подписание ЭЦП без задержек.
Бесплатно: На 1 устройство.
Ограничения: Только 1 USB, только RPi 4.
Мой выбор
Остановился на DistkontrolUSB Free. Почему?
Идеально для задачи: Специализированное решение только для проброса USB с ЭЦП. Нет лишнего.
Максимум "из коробки": Образ готов к работе. Весь функционал в Web-интерфейсе.
Стабильность и Скорость: Проверено в работе - всё чётко.
Цена: $0 за софт (RPi4 нужно иметь/купить).
Похвастался коллегам. Вот комментарий одного:
По-моему, VirtualHere тут выгоднее в долгосрочке. Да, DistkontrolUSB – огонь для одной задачи, простой и готовый. Но он же весь твой Raspberry Pi под нее только и занимает! По сути, мощный МК работает как узкоспециализированная коробочка только для проброса USB. А вот VirtualHere – это просто приложение. Поставил его на свою обычную ОС (ту же Armbian), и всё. Весь остальной потенциал компа остается свободным. На этом же самом МК спокойно можно крутить кучу всего полезного параллельно: тот же Docker, Home Assistant для умного дома, медиасервер VPN-сервер или бэкапы.Получается не одна функция, а целый универсальный комбайн для дома. Твой вариант, конечно, проще 'из коробки' для флешки, но VH дает гибкость и позволяет выжать из железа максимум, если вдруг другие идеи появятся. Вот почему я бы на твоем месте присмотрелся к нему повнимательнее.
Замечание справедливо, и гибкость VirtualHere – плюс. Но для моей задачи DistkontrolUSB Free – оптимальнее:
Специализация = простота и надежность: Мне не нужны другие сервисы на этом Pi. DistkontrolUSB – готовый, выверенный "апплайнс" только для проброса USB. Нет лишней сложности универсальной ОС, меньше точек отказа.
Безопасность: Закрытый образ с минимум компонентов – меньшая поверхность для атак на критичную ЭЦП.
Нулевые трудозатраты: "Настроил за 5 минут" – это и про долгосрочное обслуживание. Не нужно следить за обновлениями ядра, пакетов или защитой лишних сервисов.
Для одной критичной задачи лучшее решение – самое простое и целенаправленное.
По безопасности: Подключаюсь по VPN к домашней сети. Ничего не пробрасывал наружу. Всё внутри дома.
По отказоустойчивости: Если выключится свет — не будет и интернета. Городить резервирование пока не стал. Варианты решения:
1. Резерв 4G: Подключить к роутеру 4G модем как резерв, а роутер + МК посадить на ИБП.
2. Дата центр: Арендовать место и развернуть там.
Скорее всего, пойду по первому варианту...
Финальный итог
Теперь моя флешка с ЭЦП всегда «со мной», даже за тысячу километров. Главное — чтобы МК был включен. Никакой паники из-за «забытой» флешки! Просто, надежно и главное — работает.
Возможно, мой опыт и выбор помогут кому‑то избежать такой же досадной потери. Особенно если ваша «флешка» тоже критически важна.
Комментарии (46)
not-allowed-here
29.08.2025 10:35veracrypt и Yandex Disk невариант? ато "прокидка по воздуху" Флешки - ну такое себе с тз безопасности...
Sly_tom_cat
29.08.2025 10:35+/- - любой бла-бла-диск - это отдать свои секреты (путь даже зашифрованные) непонятным людям.
Тогда уже veracrypt + SyncThing или что-то подобное.
Pro100lamer Автор
29.08.2025 10:35Опишите поподробнее "veracrypt и Yandex Disk". Не совсем понятно как можно решить данную задачу с помощью этих инструментов?
not-allowed-here
29.08.2025 10:35Для работы с Яндекс.Диском в VeraCrypt вам нужно создать зашифрованный контейнер в VeraCrypt, сохранить его как обычный файл, а затем переместить этот файл-контейнер в вашу папку Яндекс.Диска. Так, ваши данные будут зашифрованы и синхронизированы облачным сервисом, при этом сам файл контейнера будет защищен паролем.
Шаг 1: Установка VeraCrypt
Скачайте установочный файл VeraCrypt с официального сайта VeraCrypt.
Установите программу на ваш компьютер, следуя инструкциям установщика.
Шаг 2: Создание зашифрованного контейнера
Запустите VeraCrypt.
В главном окне нажмите кнопку «Создать том».
Выберите опцию «Создать зашифрованный файл-контейнер» и нажмите «Далее».
Выберите «Обычный том VeraCrypt».
Укажите местоположение и имя для вашего файла-контейнера (например,
ЗашифрованныеДанные.hc).Установите размер контейнера, выберите алгоритм шифрования и хэширования.
Создайте и подтвердите надежный пароль для контейнера.
Выберите тип файловой системы.
Шаг 3: Использование контейнера с Яндекс.Диском
-
Монтирование:
После создания контейнера, в VeraCrypt выберите свободный слот для диска (например, диск F:), нажмите кнопку «Выбрать файл», найдите созданный контейнер и нажмите кнопку «Смонтировать».
-
Ввод пароля:
Введите установленный пароль и нажмите «ОК». Контейнер будет смонтирован как виртуальный диск.
-
Перемещение данных:
Скопируйте нужные файлы и папки внутрь этого виртуального диска.
-
Синхронизация с Яндекс.Диском:
Закройте окно виртуального диска (размонтируйте его в VeraCrypt), чтобы сохранить все изменения. Переместите созданный файл-контейнер (например,
ЗашифрованныеДанные.hc) в папку вашего Яндекс.Диска. -
Доступ к данным:
Теперь вы можете открыть этот файл-контейнер через Яндекс.Диск, смонтировать его, ввести пароль и получить доступ к вашим зашифрованным данным.
Pro100lamer Автор
29.08.2025 10:35Спасибо, очень подробно и понятно. Многим будет полезно. Содержимое ключа предпочту оставить на ключе. Ну а так тоже как альтернатива.
Kanut
29.08.2025 10:35Спасибо, очень подробно и понятно. Многим будет полезно
Тем, кто сам не в состоянии попросить LLM написать инструкцию по использованию veracrypt и Yandex Disk? :)
not-allowed-here
29.08.2025 10:35А я последнее время подсел на гугловского помощника он адекватно агрегирует инфу сокращая время поиска в разы.
Kanut
29.08.2025 10:35Да это сколько угодно. Лично я ничего против не имею и сам LLM регулярно пользуюсь.
Просто стиль и оформление сразу бросаются в глаза :)
K0styan
29.08.2025 10:35Тут вопрос ещё: это действительно флэшка или специализированный USB-токен? Потому что из второго просто не получится достать то, что можно будет потом синхронизировать.
not-allowed-here
29.08.2025 10:35Ну сказано же флешка.... Если это токен с крипто контейнером - то многий софт же умёт детектировать такую прокидку там как повезет может и не проканать....
rdp
29.08.2025 10:35Наши безопасники оказывается уже давно используют какую-то аппаратную приблуду для этого.
Безопасники лучше всех знают, как обходить системы безопасности.
apevzner
29.08.2025 10:35USBIP в целом работает, но только Linux-Linux. Под Windows все сложно: нужен режим разработчика для клиента — тоже минус.
Так есть же вроде подписанный клиент для венды: https://github.com/vadimgrn/usbip-win2
Pro100lamer Автор
29.08.2025 10:35Спасибо, не увидел. Протестирую если будет время.
apevzner
29.08.2025 10:35С USBIP та проблема, что в нём не предусмотрен PnP. Т.е., можно воткнуть и "примонтировать" устройство, но если оно отсоединится (например, из-за того, что драйвер сделает reset), оно отвалится.
А хотелось бы, чтобы клиенты автоматически получали нотификации о появлении новых устройств и автоматически их "монтировали" (вероятно, не все подряд, а по каким-то критериям).
Не знаю, может если бы USBIP сервер экспортировал бы не конечные устройства, а виртуальный USB hub, как устройство, это бы и работало. Но линуксный сервер так не умеет.
positroid
29.08.2025 10:35Никакой паники из-за «забытой» флешки!
Правильно понимаю, что теперь причины паники изменились и их стало больше?) Отключение питания, доступность сети и прочие
Pro100lamer Автор
29.08.2025 10:35XD Именно так! Вопрос тоже решаемый но не такой критичный как осознание в моменте что ты потерял ЭЦП. Тут больше эмоциональная составляющая. Кто сталкивался, меня поймет.
f000
29.08.2025 10:35Неэкспортируемая? Копию нельзя сделать? Одна дома, одна с собой, одна в сейфе.
Pro100lamer Автор
29.08.2025 10:35В лоб не получилось, неэкспортируемая.
alexrus
29.08.2025 10:35У вас Рутокен S, легкое гугление быстро приведет вас с способу копирования. (Да, даже неэкспортируемоего контейнера)
efcadu
29.08.2025 10:35Насколько я знаю, с Рутокен S не копируется, только Lite. Ну и если приспичит - цена вопроса 1800 руб за Рутокен Lite и один поход в налоговую, чтобы перевыпустить ЭЦП.
fronik
29.08.2025 10:35Если я правильно понял, и флэшка = токен с ЭП, то ЭП можно скопировать (в т.ч. и неэкспортируемую). И вполне безопасно с паролем хранить ЭП в реестре КриптоПро нужного компьютера (а флэшку оставить в надёжном месте). При каждой подписи запрашивается пароль.
edo1h
29.08.2025 10:35ЭП можно скопировать (в т.ч. и неэкспортируемую
Это как так?
Viteran33
29.08.2025 10:35Поискать инструменты(буквально несколько минут), насколько я помню запрет на экспорт ЭЦП записан как некий флаг, т.е. просто текстовое поле. А дальше ПО для работы с ЭЦП видя этот флаг не дает копировать, если взять ПО которому будет плевать на этот флаг, Вы без проблем можете делать копии своей ЭЦП.
edo1h
29.08.2025 10:35Тогда очень большие вопросы к отечественным криптографам. Ибо весь смысл аппаратного токена в том, что закрытый ключ генерируется внутри и никогда не покидает токен
not-allowed-here
29.08.2025 10:35Если все правильно настроено то скопировать хардовый токен нельзя. То что мало кто заморачивается нормальной настройкой это отдельная опера....
sinigr
29.08.2025 10:35Это вопрос к тому, где генерируется ключ. Если ключи генерируются ПО, и затем записываются в токен, то чаще всего они пишутся в виде контейнера (по сути в виде файла).
Если же ключи генерируются на самом токене, и закрытый ключ находится в защищенной области памяти, то подписание выполняется на самом токене, и занимает больше времени, чем если ключи в виде контейнера, особенно это заметно при подписании большого количества мелких документов.
И КриптоПРО, и ViPNet хранят свои ключи в виде контейнеров, более того, есть утилиты, позволяющие конвертировать контейнеры между ними.
edo1h
29.08.2025 10:35Если ключи генерируются ПО, и затем записываются в токен, то чаще всего они пишутся в виде контейнера (по сути в виде файла)
и чем это лучше просто файла на флешке?
belav
29.08.2025 10:35Запустить крипто про, там есть копирование ключа. Можно на отдельную флешку, можно на комп.
Moog_Prodigy
29.08.2025 10:35Такой вопрос -
а так и в магазине можно стенку приподнять? А какая машина!А через такой мост сможет работать переходник usb - 485 или usb-ttl ? А вайфай свисток? Про последний я знаю лишь свою статистику, что оно работает на кабелях длиной до метра а потом скорости не вывозит. Последнее - к вопросу "подключиться к точке доступа удаленно".
lv333
29.08.2025 10:35Любое юсб устройство в теории можно через IP прикинуть. Но вот идею с вайфай свистком если честно недопонял... Нет, технически сделать можно, только вот зачем???
edo1h
29.08.2025 10:35устройство может ожидать реакции хоста в течении какого-то срока, а через интернет реакция может занять десятки-сотни мс…
HarutAdyan
29.08.2025 10:35Только начало прочитал и не понял, чем RDP не подходит?
sansar
29.08.2025 10:35rdp вообще зло, запрещает работу со смарт картами и другими эцп при активном внешнем подключении.
not-allowed-here
29.08.2025 10:35У rdp надо на обоих концах дллы патчить иначе он токены не увидит....
maxdm
29.08.2025 10:35Можно и не патчить.
В КриптоПро CSP последних версий есть возможность отключить перенаправление смарт-карт при RDP подключении.
gleb4u
Часто пользовались USB Redirector на работе Аутсорс админов ( сервера/сеть/прикладные задачки) на самом деле очень стабильная софтина, но для её настройки, требуется танец с бубном + тайное знание, но на 50+ HV работала без отказа, всё, от HASP ключей для 1С до касс, единственное, что как раз таки вопрос ЭЦП, мы просто другими методами решали ( с новыми версия Рутокена ( не лайт) ) скоро такие фокусы не пройдут, а так, переодически всякие контуры/сбисы могут выпустить ЭЦП на Физ/ИП экспортируемую, что так же позволит, просто вытянуть из неё сам .crt и 6 файликов (Header и т.п.), ну или через крипто про скопировать.
Статья интересная, про Pi в контексте удалённого USB хаба я ещё не думал, век живи, век учись.
Автору спасибо и хорошего настроения =)
Pro100lamer Автор
Спасибо!
Расберри много где можно прикрутить, универсальная штука. У меня осталась еще со времен когда игрался с домашними серверами и "роботами" но продолжения не было, по этому валялась без дела.
Скопировать в реестр как раньше можно было, не вышло. Вот и заморочился.
USB Redirector "потыкал" там вроде условно бесплатно на linux-linux есть, но при наличии альтернативы в виде VirtualHere не имеет смысла.
Xokare
Только хотел написать. С рутокен лайт просто экспоритуертся эцп и кладётся локально на комп. И всё работает, без каких-либо пробросов по интернету. Но автор всё равно молодец